[PowerShell] find-vulnerable-drivers

Dieser Artikel auf heise.de hat mich dazu bewogen einen kleinen Scanner zu basteln, der die vulnerablen Treiber vom genannten github-repository herunterlädt, entpackt, SHA-256 Hashes berechnet, die Dateien gleich wieder löscht und die Werte in XML-basierte Powershell-Objekte exportiert. Dann wird die Festplatte C:\ rekursiv nach *.sys files durchsucht, was etwas dauert, dann wird der zweite Hashtable wieder nach clixml exportiert, als nächstes werden die beiden Hash-Tabellen auf Übereinstimmungen abgeglichen und wenn welche gefunden werden, landen diese in einer hübschen HTML-Datei, die automatisch geöffnet wird und Pfade bzw. Hashwerte der gefundenen Datei(en) ausgibt. Die XML-Dateien werden gelöscht sobald sie nicht mehr benötigt werden, damit eventuelle Änderungen bei sys files berücksichtigt werden können.

Vorteil der clixml Dateien ist unter anderem die Portabilität, d.h. man kann z.B. nur auf einem Client die vulnerablen Treiber runterladen und dann auf den übrigen Clients auf die bereits vorhandene vulnerabledrivers.xml matchen.

Code:

$Header = @"
<style>
body { background-color:#FAFAFA;
		color:#00137F;
		Font-Family:Verdana;
		font-size:10pt; }
TABLE {border-width: 1px;border-style: solid;border-color: #00137F;border-collapse: collapse; margin-left:5px; margin-bottom:2px;}
TH {border-width: 1px;padding: 4px;border-style: solid;border-color: #00137F;background-color: #C1D5F8;}
TD {border-width: 1px;padding: 4px;border-style: solid;border-color: #00137F;}
</style>
"@
$date = get-date -Format "yyyy-MM-dd HH:mm:ss"
$source = 'https://github.com/namazso/physmem_drivers/archive/refs/heads/master.zip'
$destination = 'C:\temp\master.zip'
Invoke-RestMethod -Uri $source -OutFile $destination
Expand-Archive C:\temp\master.zip -DestinationPath C:\Temp\ -Force
Remove-Item -Path C:\temp\master.zip -force
Get-ChildItem -Path C:\temp\physmem_drivers-master -Recurse -Filter *.sys -File | Get-FileHash | Export-Clixml C:\temp\vulnerabledrivers.xml
Remove-Item -Path C:\temp\physmem_drivers-master -Recurse
Write-Host "Scanning for vulnerable drivers, please wait!" -ForegroundColor Yellow
Get-ChildItem -Path C:\ -Recurse -File -Filter *.sys -ErrorAction "SilentlyContinue" | Get-FileHash |  Export-Clixml C:\temp\existingdrivers.xml
Compare-Object -PassThru -IncludeEqual -ExcludeDifferent (Import-CliXml C:\temp\existingdrivers.xml) (Import-CliXml C:\temp\vulnerabledrivers.xml) -Property hash | Select-Object Path, Hash, Algorithm | ConvertTo-Html -head $Header -PreContent "<H3>$date, vulnerable drivers found on this system:</H3>" | Set-Content C:\temp\vulnerabledrivers.html
Remove-Item C:\temp\vulnerabledrivers.xml
Remove-Item C:\temp\existingdrivers.xml
Write-Host "Scanning for vulnerable drivers finished!" -ForegroundColor Green
Invoke-Item C:\temp\vulnerabledrivers.html

+1 MHz

Coole sache!

Hat bei mir bei Media Coder angeschlagen. Gleich mal weg. Die Software wurde eh schon lange ersetzt.

Der Autor von HWiNFO schreibt, dass er glaubt, dass inpoutx64.sys von CTR (Clock Tuner for Ryzen) verwendet wird. Ein anderer schreibt, dass es von ZenTimings verwendet wird:
https://www.hwinfo.com/forum/thread...7234/post-30302

Meine Vermutung, der Treiber dürfte von mehreren OC-Tools verwendet werden, um auf Hardwareressourcen zugreifen zu können.
Als problematisch dabei sehe ich auch die Tatsache, dass die Firma die den Treiber signiert hat, "Red Fox UK Limited" sich im April 2022 aufgelöst hat:
https://find-and-update.company-inf...ompany/09448631